460/68 (IT) ประจำวันพุธที่ 12 พฤศจิกายน 2568
บริษัท Mandiant (Google) พบการใช้ช่องโหว่แบบ n-day ใน Gladinet Triofox แพลตฟอร์มแชร์ไฟล์และเข้าถึงระยะไกล หลังจากที่ผู้พัฒนาออกแพตช์แล้ว โดยช่องโหว่ร้ายแรงนี้ถูกติดตาม CVE-2025-12480 (CVSS 9.1) ที่ทำให้ผู้โจมตีหลีกเลี่ยงการยืนยันตัวตนและเข้าถึงหน้า Configuration ได้ (bypass authentication) ส่งผลให้สามารถอัปโหลดและรันเพย์โหลดที่ต้องการได้ โดยทาง Mandiant ระบุว่าพบกลุ่มภัยคุกคามที่ชื่อ UNC6485 ใช้ประโยชน์จากช่องโหว่ดังกล่าวตั้งแต่ 24 สิงหาคม 2025 หลัง Gladinet ปล่อยแพตช์ในเวอร์ชัน 16.7.10368.56560 และเป็นช่องโหว่ใน Triofox รายที่สามที่ถูกใช้โจมตีในปีนี้ ต่อจาก CVE-2025-30406 และ CVE-2025-11371
การโจมตีอาศัยการเข้าถึงหน้า Configuration ของ Triofox แล้วใช้กระบวนการตั้งค่าเพื่อสร้างบัญชีผู้ดูแลระบบ (native admin) ใหม่ชื่อ Cluster Admin จากนั้นผู้โจมตีล็อกอินด้วยบัญชีที่สร้างขึ้นและใช้ฟีเจอร์ antivirus ของ Triofox เพื่อเรียกใช้งานไฟล์ที่อัปโหลด โดยระบบอนุญาตให้กำหนดเส้นทางของโปรแกรมแอนติไวรัสได้อย่างอิสระ ไฟล์ที่ชี้ตำแหน่งนั้นจะทำงานภายใต้สิทธิ์ของกระบวนการหลัก (SYSTEM) ทำให้ผู้โจมตีสามารถสั่งให้สคริปต์แบตช์ centre_report.bat ทำงาน ซึ่งดาวน์โหลดตัวติดตั้ง Zoho UEMS จาก 84.200.80[.]252 เพื่อใช้ติดตั้งโปรแกรม Remote Access เช่น Zoho Assist และ AnyDesk บนโฮสต์ ผู้โจมตีต่อยอดด้วยการสอดแนม ปรับเปลี่ยนรหัสผ่าน เพิ่มบัญชีเข้า Local Administrators และพยายามยกระดับเป็น Domain Admins รวมทั้งดาวน์โหลดเครื่องมืออย่าง Plink และ PuTTY เพื่อสร้างอุโมงค์ SSH แบบเข้ารหัสผ่านพอร์ต 433 เพื่อเปิดรับการเชื่อมต่อ RDP ขาเข้า
Mandiant แนะนำให้ผู้ใช้ Triofox อัปเดตเป็นเวอร์ชันล่าสุดทันที และดำเนินการตรวจสอบบัญชีผู้ดูแลระบบ (audit admin accounts) เพื่อค้นหาบัญชีที่ถูกสร้างขึ้นโดยไม่ได้รับอนุญาต รวมถึงติดตามกิจกรรมเครือข่ายที่ผิดปกติและการเชื่อมต่อไปยังโดเมนหรือที่อยู่ IP ที่น่าสงสัย นอกจากนี้ ควรเพิ่มมาตรการป้องกันเพิ่มเติม เช่น จำกัดการเข้าถึงหน้า Configuration ผ่านเครือข่าย (IP allowlist), บังคับใช้การพิสูจน์ตัวตนหลายปัจจัย (MFA) กับบัญชีผู้ดูแลระบบ และมอนิเตอร์ Indicators of Compromise (IoCs) ที่เกี่ยวข้องกับแคมเปญโจมตีดังกล่าว
แหล่งข่าว https://thehackernews.com/2025/11/hackers-exploiting-triofox-flaw-to.html
